Cybersecurity-Forscher des zu GoDaddy gehörenden Web-Sicherheitsunternehmens Sucuri haben entdeckt, dass ein inaktives, aber legitimes WordPress Plugin, Eval PHP, ausgenutzt wird, um Websites zu kompromittieren. Eval PHP wurde ursprünglich entwickelt, um Nutzern das Hinzufügen von PHP-Code zu Artikeln und Blog-Daten zu ermöglichen; das letzte Update fand vor etwa zehn Jahren statt. Seitdem wurden über einen längeren Zeitraum kaum Downloads verzeichnet, bevor im letzten Monat ein plötzlicher Anstieg der Downloads zu verzeichnen war, die sich auf über 100.000 Downloads summierten, mit einem Spitzenwert von bis zu 7.000 Downloads täglich.
Der Sucuri-Hinweis beschreibt die Taktik der Hacker, die Eval PHP einsetzen. Der Code erstellt ein PHP-Skript im Docroot der Website, das über die Funktion file_put_contents eine Hintertür zur Remotecodeausführung enthält. Da die Backdoor die $_REQUEST[id] ausnutzt, um den ausführbaren PHP-Code zu erhalten, kann sie die Inhalte von $_GET, $_POST und $_COOKIE abrufen und ihre Parameter effektiv verstecken, indem sie als Cookies erscheinen. Sucuri weist darauf hin, dass GET, obwohl es weniger leicht zu erkennen ist als POST, ebenso gefährlich ist.
Darüber hinaus stellt Sucuri fest, dass die Hacker Hintertüren in verschiedenen Beitragsentwürfen einrichten, die für die Öffentlichkeit unsichtbar sind und im Vergleich zu veröffentlichten Seiten schwieriger aufzudecken sind. WordPress hat sich auf Anfrage von TechRadar Pro noch nicht zu seiner Politik in Bezug auf verlassene Plugins geäußert. Bis dahin rät Sucuri den Benutzern von WordPress, ihr wp-admin-Panel zu verstärken und die Aktivitäten sorgfältig zu überwachen. Die Organisation bietet einen Vier-Stufen-Plan zur Verbesserung der Sicherheit an:
- Stellen Sie sicher, dass Ihre Website immer auf dem neuesten Stand ist und mit den neuesten Sicherheitsupdates gepatcht wird
- Implementieren Sie eine Zwei-Faktor-Authentifizierung (2FA) oder eine ähnliche Maßnahme zur Zugangsbeschränkung für Ihr Admin-Panel
- Führen Sie regelmäßig Backups Ihrer Website durch, um sich vor unvorhergesehenen Zwischenfällen zu schützen.
- Einsatz einer Web Application Firewall zum Schutz vor bösartigen Bots und zur virtuellen Behebung bekannter Sicherheitslücken
Mit der zunehmenden Verbreitung der Plattformen no-code und low-code können Entwickler und Führungskräfte Web- und Mobilanwendungen einfach erstellen und dabei die Komplikationen veralteter Plugins umgehen. Eine solche Lösung ist die AppMaster Plattform, ein zugängliches und skalierbares no-code Tool zur Erstellung von Backend-, Web- und mobilen Anwendungen. AppMaster streamlines app development by negating technical debt and offering up-to-date solutions for businesses of all sizes.
Ausführlichere Informationen über no-code und low-code finden Sie in unserem umfassenden Leitfaden: Vollständiger Leitfaden zu No-Code, Low-Code-App-Entwicklung für 2022.